Modèle public d'accord de traitement des données conforme au RGPD Art. 28. Pour un usage contractuel formel, demandez la version signée à votre Responsable de traitement.
Ce modèle de DPA (Data Processing Agreement) est rendu public à des fins de transparence. Pour un usage contractuel formel, demandez la version signée à dpo@aegirex.eu ou téléchargez le PDF officiel généré sur demande.
Avant d'entrer dans le détail des douze articles, voici la répartition des responsabilités au sens du Règlement (UE) 2016/679. Cette structure est le fondement de toutes les obligations qui suivent.
Le Client. Définit les finalités et les moyens du traitement. Détient le pouvoir décisionnel sur les données stockées dans le coffre : choix des secrets, des destinataires, de la politique d'accès et de la durée de conservation.
Aegirex SASU. Exécute le traitement pour le compte du Client, dans le strict respect de ses instructions documentées et dans les limites de l'objet précisé à l'article 2 du présent DPA.
Vos utilisateurs. Membres des organisations du Client et destinataires de partages de secrets. Bénéficient des droits Art. 15 à 22 RGPD, outillés techniquement par Aegirex.
Le présent Accord de Traitement (ci-après "DPA") complète les Conditions Générales d'Utilisation de Aegirex et précise les obligations respectives du Responsable de traitement (le Client) et du Sous-traitant (l'Éditeur de Aegirex) au sens du Règlement (UE) 2016/679 (RGPD).
Sous-traitant : [Raison sociale en cours d'immatriculation], immatriculée au RCS sous le n° [SIREN], dont le siège social est situé [Adresse siège]. DPO : dpo@aegirex.eu.
Responsable de traitement : la personne morale ou physique souscrivant à Aegirex et utilisant le service pour stocker et partager des secrets numériques.
Aegirex est un service de stockage de secrets à chiffrement de bout en bout (zero-knowledge). Le Sous-traitant traite les données pour le compte du Responsable de traitement aux seules fins suivantes :
Le Sous-traitant traite les catégories de données suivantes, et uniquement celles-ci :
| Catégorie | Données concernées | Base légale (art. 6 RGPD) |
|---|---|---|
| Compte utilisateur | Adresse e-mail, hash Argon2id du mot de passe maître, clé publique OpenPGP, nom optionnel. | Exécution du contrat (art. 6.1.b) |
| Secrets stockés | Blobs OpenPGP opaques (chiffrés). Le Sous-traitant ne peut pas les lire. | Exécution du contrat (art. 6.1.b) |
| Journaux d'audit | Évènements de connexion, création/lecture/partage/suppression de secrets, IP, user-agent, signatures HMAC. | Intérêt légitime à la sécurité (art. 6.1.f) |
| Facturation | Raison sociale, SIREN, adresse, e-mail facturation, historique des paiements. | Obligation légale comptable (art. 6.1.c) |
Les personnes concernées sont : (a) les utilisateurs autorisés par le Responsable de traitement à accéder à {name} ; (b) le cas échéant, les destinataires de partages de secrets initiés par ces utilisateurs ; (c) les contacts identifiés sur les factures émises au Responsable de traitement.
Les données sont conservées pour les durées suivantes :
Le Responsable de traitement autorise expressément le Sous-traitant à recourir aux sous-traitants ultérieurs suivants :
| Sous-traitant | Finalité | Pays de traitement |
|---|---|---|
| Brevo SAS | Envoi des e-mails transactionnels (notification, vérification e-mail). | FR |
| Stancer SAS | Traitement des paiements en ligne. | FR |
| Hébergeur (à préciser au contrat) | Hébergement de l'infrastructure applicative et bases de données. | FR / EU |
Tout changement de sous-traitant ultérieur fait l'objet d'une notification au Responsable de traitement avec un préavis minimal de 30 jours, lui permettant d'exercer un droit d'opposition motivé.
Le Sous-traitant met en oeuvre les mesures suivantes (liste indicative non limitative) :
Conformément à l'article 33 du RGPD, le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel sous 48 heures à compter de la prise de connaissance de la violation. La notification précise la nature, la portée, les conséquences probables et les mesures prises ou envisagées.
Le Sous-traitant fournit au Responsable de traitement les outils permettant de répondre aux demandes des personnes concernées (droit d'accès, rectification, effacement, portabilité, opposition) directement depuis l'interface utilisateur. Pour toute demande non couverte par l'interface, le Sous-traitant assiste le Responsable sous 5 jours ouvrés.
À la fin du contrat (résiliation, non-renouvellement), le Responsable de traitement dispose de 30 jours pour exporter ses données via la fonctionnalité native d'export portabilité. À l'issue de ce délai, l'ensemble des données du Responsable est supprimé de manière irréversible des bases de production. Les sauvegardes chiffrées sont purgées sous 90 jours supplémentaires (rotation rétention standard).
Aucun transfert de données vers un pays tiers hors UE/EEE n'est effectué. Le Sous-traitant ne recourt pas à des prestataires soumis au CLOUD Act (US), au FISA Section 702, ni à des juridictions équivalentes. Si un tel transfert devenait techniquement nécessaire dans le futur, le Sous-traitant devrait obtenir l'accord exprès et préalable du Responsable de traitement.
Le Responsable de traitement peut mandater un auditeur indépendant (à ses frais) pour vérifier la conformité du Sous-traitant aux engagements du présent DPA, sous réserve d'un préavis raisonnable de 15 jours et d'un engagement de confidentialité. Le Sous-traitant fournit également sur demande tout document permettant de démontrer sa conformité (registre des traitements, rapports de pentest, etc.). Pour toute demande : dpo@aegirex.eu.
Cette page rend public le modèle de DPA. La version signée par les deux parties (PDF avec entête Aegirex SASU + signature électronique qualifiée) est disponible sur simple demande à dpo@aegirex.eu dès que vous souscrivez à un plan payant.
Le présent modèle vaut engagement contractuel lorsqu'il est annexé à un bon de commande Business ou Enterprise. Pour une version signée numériquement, nominative et adaptée à vos sous-traitants et à votre juridiction, adressez votre demande à votre Responsable de traitement ou directement au DPO d'Aegirex SASU.
